1. 개요 지난 12월 4일 하반기 침해사고 정보공유 세미나에서 'Sysmon을 이용한 호스트 기반의 사이버 위협 로깅 방안' 연구에 대해 소개하는 시간을 가졌다. 발표 후 질문받았던 내용 중에 Sysmon 프로세스 강제 중단을 방지하는 방법과 실행이 중단되었을 때 자동 실행 방안 등 Sysmon이 우회되는 것을 우려하는 질문이 많았다. 더 자세한 내용을 공유하기

암호화폐 지갑 데이터 복호화를 가장해 니모닉 시드를 탈취하는 악성 파이썬 패키지와 공격자의 ETH 주소를 분석해본다.

일부 암호화폐 지갑 프로그램의 아티팩트에서 중요한 정보를 획득할 수 있었던 사실에 대해 살펴본다.

실제 현장에서 데이터 수집 시 전체 데이터가 아닌 사건과 관련된 데이터만 선별 수집하는 것이 원칙이다. 따라서, 선별 수집한 데이터를 분석하는 경우가 많으며 선별 수집 데이터는 다양한 도구를 활용해 분석할 수 있다. 이 글에서는 선별 수집 데이터를 AXIOM으로 분석한 내용을 공유하고자 한다. 선별 수집 데이터는 AXIOM Process에서 이미지(Image)나 파일

DFIR(Digital Forensics & Incident Response) 컨퍼런스 중 대표적인 컨퍼런스는 "Techno Security & Digital Forensics", "SANS DFIR Summit & Tranning, FIRST Conference가 있다. 이 중 Techno Security & Digital Forensics Conference 가 가장 크게 운영되는 DFIR 컨퍼런스이며, 2021년까지 연 1회로 진행되다가 2022년부터 연 2회(6월, 9월) 진행되고 있다. 지난 9월에 미국 로스앤젤레스에서 진행된 Techno

Sweeper Bot을 이용한 암호화폐 탈취 방법에 대해 살펴본다.

Magnet OUTRIDER란? Magnet Outrider는 PC나 모바일 기기의 스캔으로 특정 정보를 식별하고, 추출해 내부 콘텐츠의 빠른 분류를 목표하는 도구이다. Magnet Outrider는 속도, 간편함을 중시하여 개발되었는데, 사용자가 수집하고자 하는 항목들을 템플릿으로 만들어 추후 다른 기기의 데이터 수집 시에 해당 설정을 그대로 사용할 수 있다. 실행 화면 프로그램을 실행하면 <사진 1>과 같은

AXIOM 에서는 다양한 아티팩트 분석을 지원하지만, 간혹 분석 지원하지 않는 아티팩트가 있다.(ex. 한국에서 제작한 프로그램) 이렇게 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위해 AXIOM 은 Custom Artifact라는 기능을 지원하고 있다. Custom Artifact 란 커스텀 아티팩트는 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위한 기능으로 설정된 XML 파일 또는

IGNITE는 사고 대응 조사를 위한 클라우드 기반의 초기 사례 평가 도구이다. 신속한 원격 스캔과 엔드포인트 분석을 수행하고 사고 범위와 다음 단계를 결정한다. 데이터 유출이나 주요 자산 접근을 확인할 수 있다. 또한, 자산 오용 및 정책 위반 파악하고 악의적인 활동을 한 엔드포인트를 분류할 수 있다. IGNITE는 Chrome, Firefox, Edge에서 지원되고 웹사이트(